从 STRIPE 向公众公开客户 ID 或信用卡 ID 是否安全?

【问题标题】:is it safe to expose customer ID or credit card ID from STRIPE to the public?从 STRIPE 向公众公开客户 ID 或信用卡 ID 是否安全?
【发布时间】:2015-07-21 09:14:45
【问题描述】:

我在我的平台上使用 Stripe 进行支付。 Stripe 为我提供了我可以在我的帐户中访问的对象的 ID,

诸如 customer_id 之类的东西,就像 cus_6DUY9LB2ih5Pdy 之类的东西

或信用卡 ID,如 card_1613mtB177tQO9RpJRQEFLcV

如果我有一个像这样引用这些 ID 的删除链接

http://mywebapp.com/user/card_1614UyB177tQO9RpKy5Ysw10

例如,该链接将从条带和我的本地数据库中删除卡

向公众公开这些 ID 对我来说安全吗?

有人可能会使用卡 ID 做恶意事情(比如创建费用?)

【问题讨论】:

  • 这些 id 特定于您的帐户,并且只能与您的密钥一起使用,因此不会不安全并且超出 PCI 的范围,但我会说最好使用您自己的 id 而不是公开那些。
  • 好吧,酷!谢谢!
  • 还有一个提示,避免暴露主键 id,更喜欢对此类敏感数据使用 GUID。

标签: ruby-on-rails security stripe-payments


【解决方案1】:

为了得到一个答案,确认@koopajah 在几年前对该问题的评论中所说的话:

这些 ID 特定于您的帐户,并且仅适用于您的密钥

所以它们是安全的(没有其他人可以使用它们),但您可能不想公开它们或围绕它们建立过多的依赖关系。相反,请使用您自己的数据表示作为对它们的引用。

【讨论】:

    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式